Trojaner-Board - Win 10: Trojaner eingefangen - fast alle Dateien mit EFDC

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - Win 10: Trojaner eingefangen - fast alle Dateien mit EFDC - Endung (https://www.trojaner-board.de/202506-win-10-trojaner-eingefangen-fast-alle-dateien-efdc-endung.html)

Mein Link basiert auf dem Link, den danach M-K-D-B gepostet hat.
Steht ja darunter

Zitat:

Service provided by ID Ransomware.

Aber dann kommt noch schlawack und postet nochmal den gleichen Link wie M-K-D-B. Liest du eigentlich nicht was vorher gepostet wurde, bevor du was rein klatschst.

Zitat:

Zitat von Tafstar (Beitrag 1756704)

Ich weiß nicht mehr genau was es war. Es waren glaube Tools für Adobe Premiere.

Du musst doch wissen, was Du heruntergeladen hast. Wenn Du allen Ernstes nicht mehr wissen würdest, was Du herunterlädst, würde dies bedeuten, dass Du unkontrolliert alles Mögliche unbedacht installierst. Alleine das wäre dann schon eine sicherheitstechnische Katastrophe im (somit nicht vorhandenen) Sicherheitskonzept.

Wenn Du Dich aber doch erinnerst, nur den konkreten Grund nicht nennen möchtest, wird es bei Betrachten der Logs sowieso klar:

Zitat:

Zitat von Tafstar (Beitrag 1756697)

==================== Hosts Inhalt: =========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2019-03-19 06:49 - 2020-12-20 18:24 - 000000219 _____ C:\Windows\system32\drivers\etc\hosts
0.0.0.0 on4u3.buhl.de
0.0.0.0 www.on4u3.buhl.de
0.0.0.0 drm.buhl.de
0.0.0.0 www.drm.buhl.de
127.0.0.1 activation.easeus.com
127.0.0.1 track.easeus.com

Seit Jahren verwendest Du auf dem System bereits gecrackte Software. Dass es nun "erst" zum Worst Case mit der Ransomware gekommen ist, ist vor diesem Hintergrund schon beinahe ein zeitliches Wunder.

Zitat:

Download, mit WinRar enpackt und installiert.

Man installiert keine Software aus unseriösen Quellen. Nie.

Zitat:

Backup ist keins vorhanden.

Dann hättest Du an Stelle der jahrelangen Installationen gecrackter Software besser jahrelang Backups von System und Daten durchgeführt. Schlichtweg falsche Prioritätensetzung und falscher Umgang mit Web und PC.

Zitat:

Was mache ich nun am besten?

Platte ausbauen, in den Schrank legen und im Laufe der Monate und Jahre immer mal wieder schauen, ob es vielleicht zufälliger Weise ein Entschlüsselungstool für speziell diese Ransomware gibt. Neue SSD kaufen (gibt gerade eine ordentliche WD Blue 3D 1TB SATA SSD für 59,99 Euro beim großen Fluss im Angebot), einbauen, Windows frisch installieren. Außerdem solltest Du schleunigst von einem sauberen (Live-)System aus all Deine Passwörter ändern. Besser isses.

Zitat:

Ich kann auf fast nichts mehr zugreifen.

Klar, weil durch die Malware (Ransomware / "Crypto-Trojaner") verschlüsselt.

Zitat:

Der Computer kann von mir aus verseucht bleiben, den kann ich ersetzen. Es geht mir persönlich nur darum, die Daten wieder zu entschlüsseln.

Ohne Fehler der Programmierer der Ransomware, ohne spätere Freigabe, keine Chance.

Zitat:

Zitat von Tafstar (Beitrag 1756706)

Ich gehe einfach mal davon aus, dass du ein sehr unzufriedenes Leben führst.

Was hat die unangebrachte Mutmaßung bitte mit Deinem Problem zu tun? Wer hat sich hier mit Cracks selbst ins Knie geschossen? Du? Oder jemand hier auf der Plattform?

Zitat:

Ich habe bereits geschrieben, was ich mir heruntergeladen habe

Ja, sehr vage mit "nicht erinnern können". Das ist doch albern.

Zitat:

und von einer Erpressergruppe war nie die Rede.

Die Malware, die Du Dir eigenhändig installiert hast, ist ein Epressungstrojaner (im umgangssprachlichen Sinne). Lies bitte:
-> https://de.wikipedia.org/wiki/Ransomware

Zitat:

Ich Versuch es mit SpyHunter.

Was soll der denn machen? Der kann gar nichts machen. Es bringt doch jetzt nichts mehr, die Malwaredateien zu löschen, die u.a. für das Verschlüsseln verantwortlich sind, denn das Verschlüsseln ist längst fertig! Und das Verschlüsseln machst Du dadurch nicht rückgängig.

Bildlich gesprochen: Erst hast Du Dir Deine Reifen am Sprinter selbst zerstochen, fährst dann gegen eine Wand, Deine ungesicherte(!) Ladung mit 1000 Glaskaraffen fliegt im Laderaum in aberwitzig kleine Stücke, dann holst Du einen Druckluft-Reifenfüller und willst nun durch das Aufpumpen von Reifenluft die Karaffen wieder heile bekommen.

Funktioniert nicht. Merkste selber?

Zitat:

Immerhin werben die damit, diese Dateien wieder entschlüsseln zu können.

Um etwas entschlüsseln zu können, benötigt man den passenden Verschlüsselungskey!

Und zu Deinem System:
- Veraltetes Betriebssystem, jahrelang nicht aktualisiert!
- Keine Backups.
- Gewohnheitsmäßig gecrackte Software!
- Kein Sicherheitskonzept.
- CCleaner & Co auf dem System.

-> IT-Führerschein! Dringend!

Ich fand es ganz interessant mal ein wenig zu dem neuen Verschlüsselungs Virus mit der .efdc Endung zu recherchieren.
https://www.bleepingcomputer.com/new...ting-exchange/
verweist dort auf einen Twitter Post

Zitat:

New STOP ransomware variant
PCRisk found a new STOP ransomware variant that appends the .efdc extension.

Ganz geschickt, hat dort jemand einen Kommentar geschrieben und auf ein YT Video verwiesen, mit dem man angeblich entschlüsseln soll. KEINESFALLS TRAUEN!

Ich habe die Video Seite mal im google-cache und bing cache angesehen.
Bei Bing bekam ich auch eine gecachte Version vom 14.12.2020
mit der Beschreibung

Zitat:

agho virus, koti virus decrypt

DJVU Ransomware.
I can try help with the virus :
agho, mmpa, copa, ogdo, geno, vari, kook, nile, repl, maas, zida, moba, usam, zwer, koti, mzlq, sqpc, mpal, jope ,mpaj, mado, opqz, npsk, nppp, rooe, bboo, alka, repp, btos, kodc, reha, topi, npsg, nbes, piny, redl, nosu, hets, righ, gesd, merl, msop, rote, zobm, kodg, lokf, leto, reco kvag
Files mp4 or mov, Nef (Nikon),

Bei Google bekam ich zwar keine gecachte Version vom Original, aber von einer anderen russischen Seite, die quasi die YT Seite crawlt, und diese kann wiederum von Google in der gecachten Version angezeigt werden. vom 22.07.2021
mit der Beschreibung

Zitat:

iqll virus, koti virus decrypt

DJVU Ransomware.
I can try help with the virus :
rejg, wrui, cadq, ygkz, agho, mmpa, copa, ogdo, geno, vari, kook, nile, repl, maas, zida, moba, usam, zwer, koti, mzlq, sqpc, mpal, jope ,mpaj, mado, opqz, npsk, nppp, rooe, bboo, alka, repp, btos, kodc, reha, topi, npsg, nbes, piny, redl, nosu, hets, righ, gesd, merl, msop, rote, zobm, kodg, lokf, leto, reco kvag
Files mp4 or mov, Nef (Nikon), CR2 (Canon)

(rot hervorgehoben=hinzugefügt; lila hervorgehoben=geändert)

Momentan sieht die Seite so aus vom 06.09.2021 (ich habe alle Beschreibungen und Kommentare aufgeklappt)

mit der Beschreibung

Zitat:

efdc virus decrypt, koti virus

DJVU Ransomware.
I can try help with the virus :
efdc, aeur, iqll, rejg, wrui, cadq, ygkz, agho, mmpa, copa, ogdo, geno, vari, kook, nile, repl, maas, zida, moba, usam, zwer, koti, mzlq, sqpc, mpal, jope ,mpaj, mado, opqz, npsk, nppp, rooe, bboo, alka, repp, btos, kodc, reha, topi, npsg, nbes, piny, redl, nosu, hets, righ, gesd, merl, msop, rote, zobm, kodg, lokf, leto, reco kvag
Files mp4 or mov, Nef (Nikon), CR2 (Canon)

(rot hervorgehoben=hinzugefügt; lila hervorgehoben=geändert)

Dabei ist das Video immer das gleiche und wurde am 18.05.2020 hoch geladen.
Also wird die Beschreibung einfach nur geändert bei gleichem Video.

Auf bleepingcomputer.com schreibt ein Moderator übrigens gestern u.a. (übersetzt mit deepl)

Zitat:

haben es mit einer neueren Variante von STOP (Djvu) Ransomware zu tun

Zitat:

haben die Malware-Entwickler konsequent 4-Buchstaben-Erweiterungen verwendet.

Zitat:

Die .djvu* und neuere Varianten hinterlassen Erpresserbriefe namens _openme.txt, _open_.txt oder _readme.txt.

also wie ich im ersten Post schon vermutete.

Zitat:

die Entschlüsselung der Daten erfordert eine OFFLINE ID mit entsprechendem privaten Schlüssel. Emsisoft kann einen privaten Schlüssel für OFFLINE IDs nur erhalten, NACHDEM ein Opfer das Lösegeld bezahlt hat, einen Schlüssel erhält und diesen zur Verfügung stellt.

Zitat:

Bei einer Infektion mit einem ONLINE SCHLÜSSEL ist eine Entschlüsselung ohne den spezifischen privaten Schlüssel des Opfers nicht möglich.

Sieht also momentan ziemlich schlecht aus für den Themenersteller wieder an seine Dateien ran zu kommen.
bleepingcomputer.com steht mit an erster Stelle wenn es um Malware Dinge geht. Also nicht wieder auf irgendwelche andere Versprechen herein fallen.

Es gibt ja, wie man sieht, auch immer wieder genug "Abnehmer" für neue Varianten. Diese "Kunden" leben ihre Treue durch ihr konstant gleichbleibendes PC-Nutzungsverhalten. :D

Guten Morgen,

danke für die zahlreichen Antworten.
Ich glaube auch, dass ich zu leichtsinnig mit solchen Downloads von solchen Plattformen umgegangen bin.

Ich habe die geforderten Sachen erledigt und hochgeladen.

1. Readme
2. Ergebnis der Analyse zur verschlüsselten Datei

Code:

ATTENTION!
 

Don't worry, you can return all your files!

All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.

The only method of recovering files is to purchase decrypt tool and unique key for you.

This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.

But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-vsuuyeLSKk

Price of private key and decrypt software is $980.

Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
 
 

To get this software you need write on our e-mail:

manager@mailtemp.ch
 

Reserve e-mail address to contact us:

managerhelper@airmail.cc
 

Your personal ID:

0332gDrgorCmd3j4aykEBx0X7GSZFXZTRaA1p1vOlNlSS59t1

Code:

STOP (Djvu)

 Diese Ransomware kann unter bestimmten Umständen entschlüsselbar sein.
 

Siehe die dazugehörige Anleitung für weitere Informationen.

Identifiziert von
 

sample_extension: .efdc

sample_bytes: [0xBF193 - 0xBF1B9] 0x7B33364136393842392D443637432D344530372D424538322D3045433542313442344446357D

Klicke hier für mehr Informationen über STOP (Djvu)

Zum STOP (Djvu) wurde doch Emsisoft erwähnt. Hast du das nun probiert oder nicht?

https://www.emsisoft.com/ransomware-...ools/stop-djvu

ja das habe ich gerade probiert.
Es konnte keine Datei wiederhergestellt werden. Bei jedem Eintrag steht entweder:
Ein Teil des Pfades konnte nicht gefunden werden.
Oder: Notice: this ID appears be an offline ID, decryption MAY be possible in the future.

Dann wirds wohl Zeit für dich, sich mit der Situation so abzufinden. Hat Citro ja auch geschrieben, dass du nichts entschlüsseln kannst v.a. nicht mal eben auf die Schnelle. Dann kannst du nur noch tun was Markus schrieb. Beide Zitate unten.

Zitat:

Zitat von Citro (Beitrag 1756720)

Zitat:

Zitat von mmk (Beitrag 1756718)

Ja, dann werde ich das wohl machen.

Vielen Dank für eure schnelle Hilfe und eure Zeit.

Zitat:

Neue SSD kaufen (gibt gerade eine ordentliche WD Blue 3D 1TB SATA SSD für 59,99 Euro beim großen Fluss im Angebot)

Meinst du das hier da stimmt dein angebener Preis für 1 TB nicht. Oder wo soll das bei ebay sein, dein erwähntes Angebot?

Ich würde dir auch raten die beiden vom Virus erstellten Dateien
C:\Users\Admin\AppData\Local\bowsakkdestx.txt
C:\Users\Admin\_readme.txt
aufzubewahren, da dort Schlüssel drin stehen. Vielleicht helfen sie dir irgendwann einmal deine Dateien zu entschlüsseln.

Zitat:

Zitat von Tafstar (Beitrag 1756732)

Ja, dann werde ich das wohl machen.

Vielen Dank für eure schnelle Hilfe und eure Zeit.

Eine Bitte an dich: wenn du Windows 10 neu aufgespielt hast nach der Windows Neuinstallation Anleitung hier im TB, dann mache bitte zukünftig von Windows 10 und dir wichtiger Dateien Backups auf eine externe USB Festplatte die nur angeschlossen wird für Backup Aufgaben und ansonsten offline ist.

Zitat:

Zitat von schlawack (Beitrag 1756739)

Meinst du das hier da stimmt dein angebener Preis für 1 TB nicht. Oder wo soll das bei ebay sein, dein erwähntes Angebot?

Jetzt weiß ich was du meintest, das hier: https://www.mydealz.de/deals/western-digital-wd-blue-3d-nand-sata-ssd-1tb-sata-1852897 vermute ich. Nur leider steht da jetzt:

Zitat:

Dieser Deal ist leider abgelaufen.